ISSN 2305-5626. Вестник МГТУ им. Н.Э. Баумана: электронное издание. 2013
6
Далее приведено описание механизмов системы обнаружения
вторжений IDS на основе аномалий. Рассматриваются физический и
канальный уровни сенсорного узла кластерной области [8]. При
этом делается акцент на характеристику, позволяющую обнаружить
вторжение, но не приводится, каким образом обрабатывается этот
сигнал.
1.
Защита на физическом уро
вне. Проблема защиты радиоинтер-
фейса (защита от прослушивания канала передачи и зашумления) ин-
тенсивно исследуется для всех беспроводных сетей. Предложено
много решений, таких как широкополосная передача и скачкообраз-
ная перестройка частоты. Когда узел принимает пакет, трудно опре-
делить, пришел ли пакет от заявленного отправителя, если не приме-
няется аутентификация.
На физическом уровне сенсорного узла используется величина
мощности принимаемого сигнала RSSI (Received Signal Strength Indi-
cator). Современные операционные системы для БСС, такие как Ti-
nyOS, предоставляют возможность получения значения RSSI. Для
беспроводной среды передачи RSSI зависит от расстояния между уз-
лами. При развертывании БСС значения RSSI позволяют определить
узлы-соседи. При функционировании БСС узлы следят за этими зна-
чениями, поступаемыми от соседних сенсорных узлов. Получение
неожидаемого значения RSSI отличается подозрительным аномаль-
ным поведением от возможного вброса нелегитимного сенсорного
узла для подмены легитимного узла. Существует немало факторов
(фоновый шум, погодные условия), которые с большой вероятностью
могут вызвать ложные подозрения. Поэтому этот подход следует ис-
пользовать в комбинации с другими (на других уровнях).
2.
Защита на канальном уровне
.
Если для управления разграни-
чением доступа используют протоколы установки расписания, то для
каждого из узлов выделяется уникальный временной слот. Для под-
мены легитимного узла при вбросе нелегитимного сенсорного узла
необходимо, чтобы он использовал тот же временной слот. Если
вброшенный злоумышленником сенсорный узел не следует этому
временному расписанию и пытается выдать себя за легитимный узел,
в то время как для этого узла передача не предполагается, то сосед-
ние с ним узлы могут определить такой нелегитимный узел. Ниже
показано, каким образом фиксируется аномальное явление при вы-
полнении протокола временного множественного доступа TDMA
(Time Division Multiple Access) и протокола S-MAC (Sensor MAC),
выполняющего переключение спящего и рабочего режимов.
Передача данных от сенсорных узлов в головной узел кластерной
области осуществляется по схеме множественного доступа с времен-
ным разделением TDMA [4]. При этом каждому сенсорному узлу
присваивается определенный интервал времени (слот) одинаковой
несущей частоты. Получение сообщения на непредназначенном для
него слоте отмечается как подозрительное аномальное явление от